网络安全评论员:使用区块链技术可避免推特黑客入侵

来源:蓝本财经

观点

网络安全评论员Joe Tidy在为BBC撰写的文章指出,推特被黑事件意味着推特平台自身有问题,即使推特继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的中心化服务范式无法为用户的身份验证提供更安全的解决方案。随后,Tidy以澳大利亚和欧洲的经验为例,通过介绍如何使用区块链技术保护公钥证书免受分布式拒绝服务和中间人攻击,建议软件和社交媒体巨头应做出改变以提高安全标准。

墨菲定律指出:“任何可能出错的地方都会出错。” 它总是在集中式服务中发生。一年前,我们看到了一半的Facebook帐户是如何在网上泄漏的,从而暴露了个人数据。我们将在其他服务中看到更多次。最近的Twitter骇客再次强调了这一点。黑客入侵了埃隆·马斯克(Elon Musk),比尔·盖茨(Bill Gates),杰夫·贝佐斯(Jeff Bezos),坎耶·韦斯特(Kanye West),金·卡戴珊(Kim Kardashian),迈克·布隆伯格(Mike Bloomberg),乔·拜登(Joe Biden),巴拉克·奥巴马(Barack Obama)等帐户,他们利用比特币(BTC)提出了欺诈性要约。

网络安全评论员乔·提迪(Joe Tidy)为英国广播公司(BBC)撰写的文章指出:“事实上,许多不同的用户同时遭到入侵,这意味着这是Twitter平台本身的问题。” 所有账户都是脆弱的;对于黑客来说,这只是一个选择问题:使用名人更好地“认可”欺诈。

问题是,即使Twitter或具有类似体系结构的任何其他服务继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的集中式服务范式无法为用户的身份验证提供更安全的解决方案。

我最近以澳大利亚和欧洲的经验为例,写了关于可以保护数据和数字身份的新技术,以及如何利用区块链技术保护公钥证书免受分布式拒绝服务和中间人的攻击攻击。尽管我的分析是非常技术和透彻的,但最好还是退后一步,梳理一些通用但相关的细节,以加强数据保护。

在向服务提供商,在线商店或政府询问是否保护您的个人数据时,可以使用以下术语:

分散标识符(DID)是W3C的通用框架,具有多种方法以分散方式创建和管理个人标识符。换句话说,在线服务的开发人员如果想利用分散技术的潜力,就无需创建新的东西。他们可以利用这些方法和协议。

选择性披露协议(SDP)是去年由Vareger联合创始人Mykhailo Tiutin及其团队在EOS Hackathon上提出的,是一种分散式方法,用于在区块链上存储具有密码保护的个人数据(使用DID)。使用SDP,用户可以在任何特定交易中披露经过精心选择的信息。

简单来说,自我主权身份(SSI)是一个概念,它允许用户成为其个人数据和身份的主权所有者,而不是第三方。这意味着您可以将个人数据存储在设备上,而不是存储在Twitter或其他任何人的服务器上。为了说明SSI概念的强大功能,请考虑以下语句:入侵一个存储数百万个帐户的集中式系统比入侵数百万个个人设备更容易。但是问题更加深远。如果我们面临数字独裁统治,那么问题的根源将是缺乏控制和禁止第三方(包括政府)存储和操作您的个人数据的权利。可怕的实验维吾尔族人在中国就是一个很好的例子。公民没有合法权利拒绝政府收集其个人数据。当然,中国政府未经其同意就创建了帐户,以获取其认为不当行为的记录。

为了使事情更直观,让我们经历一个假设的情况。

用例:爱丽丝和她的数字身份

爱丽丝生成她的加密对:私钥和公钥。私钥使用数字签名对交易进行加密;公钥将它们解密。公钥用于验证Alice是否已登录,签署了合同,签署了区块链交易等。

为了保护私钥,她会将其存储在具有PIN保护的安全硬件设备上,例如,存储在智能卡,USB认证令牌或硬件加密货币钱包中。不过,加密货币地址是公钥的表示,这意味着爱丽丝可以将其用作她的硬币和令牌钱包。

尽管公钥是匿名的,但她也可以创建经过验证的数字身份。她可以要求鲍勃证明自己的身份。Bob是证书颁发机构。爱丽丝将拜访鲍勃并出示身份证。Bob将创建一个证书并将其发布在区块链上。“证书”是一个向公众发布的文件:“爱丽丝的公钥有效。” Bob不会像现在其他传统证书颁发机构那样在其服务器上发布它。如果曾经在DDoS攻击中禁用集中式服务器,则没有人能够确认Alice的数字身份是否有效,这可能导致某人窃取她的证书并伪造其身份。如果证书或其至少哈希值是在链上发布的,这将是不可能的。

凭借已验证的ID,她可以执行正式交易,例如注册公司。如果爱丽丝是一位企业家,那么她可能想发布自己的联系人,例如电话号码。使用区块链是一种更安全的选择,因为当数据在社交媒体上发布时,黑客可以闯入一个帐户并将其替换以将呼叫重定向到另一个号码。在区块链上这一切都是不可能的。

如果爱丽丝去酒类商店,则可以使用已验证的DID。卖方戴夫(Dave)将使用其应用来验证和确认爱丽丝的DID,而不是她的纸本ID。爱丽丝不需要透露她的姓名和生日。她将与戴夫(Dave)的应用程序共享鲍勃(Bob)认证的标识符,她的照片和“ 21岁以上”声明。Dave信任此记录,因为Bob是证书颁发机构。

爱丽丝可以为在线购物,社交媒体和加密货币交换创建各种假名。如果她丢失了私钥,她将要求Bob更新其在区块链上的记录,以宣布“爱丽丝的公钥无效”。因此,如果有人偷了它,那么与她的公共密钥进行交互的每个人都会知道,他们不应该相信使用此密钥进行的交易。

当然,这是一种简化的方案,但这并非不切实际。此外,其中一些过程已经存在。例如,爱沙尼亚电子居留卡只不过是具有用户私钥的智能卡。使用此卡,您可以在爱沙尼亚远程注册公司,甚至签订合同。爱沙尼亚数字签名已集成到更大的市场中,在整个欧盟范围内得到认可。不幸的是,其政府仍然不保护区块链上的证书。

知识就是力量。用户应该知道,正如人们可能会说的那样,网络安全不仅掌握在他们手中。软件和社交媒体巨头应该做出改变以提高安全标准,而用户应该要求它。

本文由 链谷区块 作者:链谷区块官方号 发表,其版权均为 链谷区块 所有,文章内容系作者个人观点,不代表 链谷区块 对观点赞同或支持。如需转载,请注明文章来源。
分享生成图片

发表评论

网络安全评论员:使用区块链技术可避免推特黑客入侵

2020-07-22 9:24:45

来源:蓝本财经

观点

网络安全评论员Joe Tidy在为BBC撰写的文章指出,推特被黑事件意味着推特平台自身有问题,即使推特继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的中心化服务范式无法为用户的身份验证提供更安全的解决方案。随后,Tidy以澳大利亚和欧洲的经验为例,通过介绍如何使用区块链技术保护公钥证书免受分布式拒绝服务和中间人攻击,建议软件和社交媒体巨头应做出改变以提高安全标准。

墨菲定律指出:“任何可能出错的地方都会出错。” 它总是在集中式服务中发生。一年前,我们看到了一半的Facebook帐户是如何在网上泄漏的,从而暴露了个人数据。我们将在其他服务中看到更多次。最近的Twitter骇客再次强调了这一点。黑客入侵了埃隆·马斯克(Elon Musk),比尔·盖茨(Bill Gates),杰夫·贝佐斯(Jeff Bezos),坎耶·韦斯特(Kanye West),金·卡戴珊(Kim Kardashian),迈克·布隆伯格(Mike Bloomberg),乔·拜登(Joe Biden),巴拉克·奥巴马(Barack Obama)等帐户,他们利用比特币(BTC)提出了欺诈性要约。

网络安全评论员乔·提迪(Joe Tidy)为英国广播公司(BBC)撰写的文章指出:“事实上,许多不同的用户同时遭到入侵,这意味着这是Twitter平台本身的问题。” 所有账户都是脆弱的;对于黑客来说,这只是一个选择问题:使用名人更好地“认可”欺诈。

问题是,即使Twitter或具有类似体系结构的任何其他服务继续在其系统周围构建网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的集中式服务范式无法为用户的身份验证提供更安全的解决方案。

我最近以澳大利亚和欧洲的经验为例,写了关于可以保护数据和数字身份的新技术,以及如何利用区块链技术保护公钥证书免受分布式拒绝服务和中间人的攻击攻击。尽管我的分析是非常技术和透彻的,但最好还是退后一步,梳理一些通用但相关的细节,以加强数据保护。

在向服务提供商,在线商店或政府询问是否保护您的个人数据时,可以使用以下术语:

分散标识符(DID)是W3C的通用框架,具有多种方法以分散方式创建和管理个人标识符。换句话说,在线服务的开发人员如果想利用分散技术的潜力,就无需创建新的东西。他们可以利用这些方法和协议。

选择性披露协议(SDP)是去年由Vareger联合创始人Mykhailo Tiutin及其团队在EOS Hackathon上提出的,是一种分散式方法,用于在区块链上存储具有密码保护的个人数据(使用DID)。使用SDP,用户可以在任何特定交易中披露经过精心选择的信息。

简单来说,自我主权身份(SSI)是一个概念,它允许用户成为其个人数据和身份的主权所有者,而不是第三方。这意味着您可以将个人数据存储在设备上,而不是存储在Twitter或其他任何人的服务器上。为了说明SSI概念的强大功能,请考虑以下语句:入侵一个存储数百万个帐户的集中式系统比入侵数百万个个人设备更容易。但是问题更加深远。如果我们面临数字独裁统治,那么问题的根源将是缺乏控制和禁止第三方(包括政府)存储和操作您的个人数据的权利。可怕的实验维吾尔族人在中国就是一个很好的例子。公民没有合法权利拒绝政府收集其个人数据。当然,中国政府未经其同意就创建了帐户,以获取其认为不当行为的记录。

为了使事情更直观,让我们经历一个假设的情况。

用例:爱丽丝和她的数字身份

爱丽丝生成她的加密对:私钥和公钥。私钥使用数字签名对交易进行加密;公钥将它们解密。公钥用于验证Alice是否已登录,签署了合同,签署了区块链交易等。

为了保护私钥,她会将其存储在具有PIN保护的安全硬件设备上,例如,存储在智能卡,USB认证令牌或硬件加密货币钱包中。不过,加密货币地址是公钥的表示,这意味着爱丽丝可以将其用作她的硬币和令牌钱包。

尽管公钥是匿名的,但她也可以创建经过验证的数字身份。她可以要求鲍勃证明自己的身份。Bob是证书颁发机构。爱丽丝将拜访鲍勃并出示身份证。Bob将创建一个证书并将其发布在区块链上。“证书”是一个向公众发布的文件:“爱丽丝的公钥有效。” Bob不会像现在其他传统证书颁发机构那样在其服务器上发布它。如果曾经在DDoS攻击中禁用集中式服务器,则没有人能够确认Alice的数字身份是否有效,这可能导致某人窃取她的证书并伪造其身份。如果证书或其至少哈希值是在链上发布的,这将是不可能的。

凭借已验证的ID,她可以执行正式交易,例如注册公司。如果爱丽丝是一位企业家,那么她可能想发布自己的联系人,例如电话号码。使用区块链是一种更安全的选择,因为当数据在社交媒体上发布时,黑客可以闯入一个帐户并将其替换以将呼叫重定向到另一个号码。在区块链上这一切都是不可能的。

如果爱丽丝去酒类商店,则可以使用已验证的DID。卖方戴夫(Dave)将使用其应用来验证和确认爱丽丝的DID,而不是她的纸本ID。爱丽丝不需要透露她的姓名和生日。她将与戴夫(Dave)的应用程序共享鲍勃(Bob)认证的标识符,她的照片和“ 21岁以上”声明。Dave信任此记录,因为Bob是证书颁发机构。

爱丽丝可以为在线购物,社交媒体和加密货币交换创建各种假名。如果她丢失了私钥,她将要求Bob更新其在区块链上的记录,以宣布“爱丽丝的公钥无效”。因此,如果有人偷了它,那么与她的公共密钥进行交互的每个人都会知道,他们不应该相信使用此密钥进行的交易。

当然,这是一种简化的方案,但这并非不切实际。此外,其中一些过程已经存在。例如,爱沙尼亚电子居留卡只不过是具有用户私钥的智能卡。使用此卡,您可以在爱沙尼亚远程注册公司,甚至签订合同。爱沙尼亚数字签名已集成到更大的市场中,在整个欧盟范围内得到认可。不幸的是,其政府仍然不保护区块链上的证书。

知识就是力量。用户应该知道,正如人们可能会说的那样,网络安全不仅掌握在他们手中。软件和社交媒体巨头应该做出改变以提高安全标准,而用户应该要求它。